PDF《Tropic Trooper 攻击行动》

64 位元版本.若是,此木 马程式会利用一个简单的 XOR 解码方式加上「0x90」 这个金钥解出自己的

64 位元版本. 若受感染的系统不是

64 位元系统,那就在系统 植入此木马程式的

32 位 元版本 (%APP DATA% \Microsoft\Credentials \Credentials.exe),也就 是我们侦测到的 TROJ_YAHOYAH 木马程 式,以及一个加密过的 设定档案(%APP DATA% \ Microsoft\Credentials \Credentials.dat).此设 定档一样是使用简单的 加密方式编码 (请参阅先 前提到的 Rapid7 公司有 关KeyBoy 的报告). 不过 KeyBoy 木马程式搜寻的字串是 「IJUDHSDJFKJDE」,但TROJ_YAHOYAH 搜寻的字 串是「MDDEFGEGETGIZ」.这些字串会出现在加密资 料的开头,代表设定档的位置.若找不到该档案,整 个感染程序就会终止. 设定档的解密金钥为 「0x95,0x99,0x9d,0xc3,0xc7, 0xcb,0xd7,0xe5,0xbd,0xa9, 0xb5,0xeb,0xf7,0xe3,0xe7, 0xed」 ?

2015 年趋势科技版权所有. TROJ_YAHOYAH 的设定档在解开之后可看到一些网 站连结,这些连结可用来下载后续程序所需的档案. 在解开之后,它会执行一份植入系统的档案,并附上 「-Embedding」这个参数,然后试著将自己删除. 该档案下载程式的命名是根渫瓿扇挝裰笞晕疑 除的行为.YAHOYAH 是菲律宾 Visayan 语的 「hayohay」一字颠倒过来,该字的意思约略是「可 随意抛弃的仆人」. [8] 下载行为 TROJ_YAHOYAH 会尝试连上前述连结并利用 HTTP GET 请求来下载档案.在进入另一个攻击阶段后,它 会使用下列 User-agent 字串: ? MSIE: 检查系统的 Internet Explorer? 版本 ? NT: 检查系统的 Windows 作业系统版本 ? AV: 检查已安装的恶意程式防护产品 ? OV: 检查系统的 Microsoft? Office? 版本 TROJ_YAHOYAH 解开后的设定档内容 ? NA: 检查系统的主机名称 ? VR: 程式内写死的字串只有在连上下载网站来记 录目标对象使用哪一个下载程式时才会用到. HTTP GET 请求样本 TROJ_YAHOYAH 会检查系统是否有下列恶意程式防护 软体的执行程序: ? 360rp.exe ? 360tray.exe ? ALMon.exe ? ALsvc.exe ? ashserv.exe ? Avastsvc.exe ? avgam.exe ? avguard.exe ? avp.exe ? avpmapp.exe ? consctl.exe ? CyberoamClient.exe ? econceal.exe ? econser.exe ? ekrn.exe ? escanmon.exe ?

2015 年趋势科技版权所有. ? mcshield.exe ? nod32krn.exe ? pccntmon.exe ? rtvscan.exe ? SAVAdminService.exe ? SavService.exe ? sfctlcom.exe ? swi_service.exe ? uiwatchdog.exe TROJ_YAHOYAH 会暂时将下载的档案储存到一个特别 建立的资料夹,档名路径为:「%APP DATA%\ tasks \up{random characters}.msi」. 含有恶意 .JPG 标头的 .MSI 档案样本 该图片是一张

800 x

600 的桌布,但却不是 Windows XP 系统随附在「%WINDOWS%\wallpaper\web」资 料夹中的那个真正的「Wind.jpg」档案.Tropic Trooper 攻击行动使用了一种简单的图像隐藏术 (steganography) 技巧来隐藏其后门程式,以躲避恶意 程式防护与网路边界防护软体的侦测.[9] 我们发现歹 徒也会利用同一资料夹中的其他图片,如: Ascent.jpg、Friend.jpg 以及 Home.jpg. .MSI 档案样本在小画家当中开启的样子 ?

2015 年趋势科技版权所有. 维持常驻 TROJ_YAHOYAH 在记忆体中执行的最后一个档案就是 主要的安装程式.它还包含两个会安装一个我们侦测 为TROJ_YAHAMAM 木马程式的 .DLL 档案.该档案会 注册成一个名为「INCS」的服务以便常驻在系统中. 此外也会在系统植入以下图片档案 (暗藏经过 XOR 加 密的恶意程式): ? % windows %\System32\mfc41.dll (也就是我 们侦测到的 TROJ_YAHAMAM 木马程式) ? % windows %\inf\mfc41.inf (设定档) ? % windows %\Fonts\mfc41.tff (设定档的副本) ? %windows%\Web Wallpaper\images.jpg (暗藏 BKDR_YAHAMAM 后门程式) 歹徒利用一个批次档 (.BAT) 来启动 INCS 服务. TROJ_YAHAMAM 会利用与 TROJ_YAHOYAH 类似的 技巧来解开档案.档案解开之,TROJ_YAHAMAM 会 执行其中的后门程式. 下载的档案经过进一步深 入分析之后显示,里面已 插入了恶意程式 码.TROJ_YAHOYAH 会 检查从档案末端数来第 0x0F 位元组的位置是否 有恶意程式码的标记,而 档案的大小也因此变大. TROJ_YAHOYAH会搜寻 「EHAGBPSL」........